スタンドアロン トポロジを使用した MBAM 2.5 の高レベル アーキテクチャ
この記事では、Configuration Manager スタンドアロン トポロジを使用して Microsoft BitLocker 管理および監視 (MBAM) を展開するための推奨アーキテクチャについて説明します。 このトポロジでは、MBAM はスタンドアロン製品としてデプロイされます。 または、MBAM と Configuration Manager を統合する Configuration Manager 統合トポロジを使用して MBAM をデプロイすることもできます。 詳細については、「 Configuration Manager 統合トポロジを使用した MBAM 2.5 のアーキテクチャの概要」を参照してください。
この記事で説明されているソフトウェアのサポートされているバージョンの一覧については、 MBAM 2.5 でサポートされている構成に関するページを参照してください。
注
テスト環境でのみ単一サーバー アーキテクチャを使用することをお勧めします。
推奨されるサーバー数とサポートされているクライアント数
次の表に、運用環境で推奨されるサーバー数とサポートされているクライアント数を示します。
| 運用環境で推奨されるアーキテクチャ | 詳細 |
|---|---|
| サーバーとその他のコンピューターの数 | 2 台のサーバー 1 つのワークステーション |
| サポートされているクライアント コンピューターの数 | 500,000 |
スタンドアロン トポロジを使用した推奨 MBAM の高レベル アーキテクチャ
次の図とセクションでは、スタンドアロン トポロジを使用して MBAM に推奨される高レベルの 2 サーバー アーキテクチャについて説明します。 MBAM マルチフォレストデプロイには、一方向または双方向の信頼が必要です。 一方向の信頼では、サーバー ドメインがクライアント ドメインを信頼する必要があります。
コンプライアンスと監査データベース
この機能は、Windows Server とサポートされている SQL Server インスタンスを実行しているサーバーで構成されます。 コンプライアンスおよび監査データベースにはコンプライアンス データが格納されます。これは、主に SQL Server Reporting Services がホストするレポートに使用されます。
Recovery Database
この機能は、Windows Server とサポートされている SQL Server インスタンスを実行しているサーバーで構成されます。 Recovery Database には、MBAM クライアント コンピューターから収集された回復データが格納されます。
レポート
この機能は、Windows Server とサポートされている SQL Server インスタンスを実行しているサーバーで構成されます。 レポートには、企業内のクライアント コンピューターに関する回復監査とコンプライアンスの状態データが表示されます。 レポートには、管理および監視 Web サイトから、または SQL Server Reporting Services から直接アクセスできます。
管理および監視サーバー
管理と監視 Web サイト
この機能は、Windows Server を実行しているコンピューターで構成されています。 管理および監視 Web サイトは、次の用途に使用されます。
ユーザーがロックアウトされたときにコンピューターへのアクセスを回復するのに役立ちます。Web サイトのこの領域は、一般にヘルプ デスクと呼ばれます。
クライアント コンピューターのコンプライアンスの状態と回復アクティビティを示すレポートを表示します。
Self-Service ポータル
この機能は、Windows Server を実行しているコンピューターで構成されています。 セルフサービス ポータルは、クライアント コンピューターのエンド ユーザーが Web サイトに個別にサインインして、BitLocker パスワードを紛失または忘れた場合に回復キーを取得できるようにする Web サイトです。
この Web サイトの Web サービスの監視
この機能は、Windows Server を実行しているコンピューターで構成されています。 監視 Web サービスは、MBAM クライアントと Web サイトによってデータベースと通信するために使用されます。
注
監視 Web サービスは、MICROSOFT BitLocker 管理および監視 (MBAM) 2.5 SP1 では使用できなくなりました。これは、MBAM Web サイトが Recovery Database と直接通信するためです。
管理ワークステーション
MBAM グループ ポリシー テンプレート
MBAM グループ ポリシー テンプレートは、MBAM の実装設定を定義するグループ ポリシー設定であり、BitLocker ドライブ暗号化を管理できます。
MBAM を実行する前に、[ MDOP グループ ポリシー (.admx) テンプレートをダウンロードして展開する方法] からグループ ポリシー テンプレートをダウンロード し、サポートされている Windows Server または Windows オペレーティング システムを実行しているサーバーまたはワークステーションにコピーする必要があります。
ワークステーションは専用コンピューターである必要はありません。
MBAM クライアントと Configuration Manager クライアント コンピューター
MBAM クライアント ソフトウェア
MBAM クライアント:
グループ ポリシー オブジェクトを使用して、企業内のクライアント コンピューターに BitLocker ドライブ暗号化を適用します。
オペレーティング システム ドライブ、固定データ ドライブ、リムーバブル (USB) データ ドライブの 3 種類のデータ ドライブの BitLocker 回復キーを収集します。
クライアント コンピューターに関する回復情報とコンピューター情報を収集します。